ハンズオン(簡易版): IAM基礎(ユーザー)

2.1. 仮想MFAデバイスの作成 (handson-cli-basic-user-mfa)

手順の目的 [why]

仮想MFAデバイス"handson-cli-basic-user-mfa"を作成します。

設定値の指定

設定値の指定

手順に必要な設定値を変数に格納をします。

1. 仮想MFAデバイス名

仮想MFAデバイス名を指定します。

変数の設定:

MFA_DEVICE_NAME='handson-cli-basic-user-mfa'

2. MFAブートストラップメソッド名

MFAブートストラップメソッド名を指定します。

変数の設定:

MFA_BOOTSTRAP_METHOD='QRCodePNG'

3. MFAブートストラップ出力ファイル用ディレクトリ

MFAブートストラップ出力ファイル用ディレクトリを指定します。

変数の設定:

DIR_MFA_OUTFILE="${HOME}/environment/tmp-handson-cli-iam-user-basic"

ディレクトリが存在することを確認します。

コマンド:

ls -d ${DIR_MFA_OUTFILE}

結果(例:存在する場合):

${HOME}/environment/tmp-handson-cli-iam-user-basic

存在しない場合は作成します。

コマンド:

mkdir -p ${DIR_MFA_OUTFILE}

結果(例):

(出力なし)

4. MFAブートストラップ出力ファイル名

MFAブートストラップ出力ファイル名を指定します。

変数の設定:

FILE_MFA_OUTFILE="${DIR_MFA_OUTFILE}/${MFA_DEVICE_NAME}.png" \
  && echo ${FILE_MFA_OUTFILE}

結果(例):

${HOME}/environment/tmp-handson-cli-iam-user-basic/handson-cli-basic-user-mfa.png

設定値の確認

各変数に正しい設定値が格納されていることを確認しながら保存します。

変数の確認:

cat << END

  # 1. MFA_DEVICE_NAME:"handson-cli-basic-user-mfa"
       MFA_DEVICE_NAME="${MFA_DEVICE_NAME}"
  # 2. MFA_BOOTSTRAP_METHOD:"QRCodePNG"
       MFA_BOOTSTRAP_METHOD="${MFA_BOOTSTRAP_METHOD}"
  # 3. DIR_MFA_OUTFILE:"${HOME}/environment/tmp-handson-cli-iam-user-basic"
       DIR_MFA_OUTFILE="${DIR_MFA_OUTFILE}"
  # 4. FILE_MFA_OUTFILE:"${HOME}/environment/tmp-handson-cli-iam-user-basic/handson-cli-basic-user-mfa.png"
       FILE_MFA_OUTFILE="${FILE_MFA_OUTFILE}"

END

下段の変数が入っていない、もしくは上段と同等の値が入っていない場合は、それぞれの手順番号に戻って変数の設定を行います。

処理の実行

AWS IDを取得します。

コマンド:

AWS_ID=$( \
  aws sts get-caller-identity \
    --query 'Account' \
    --output text \
) \
  && echo ${AWS_ID}

結果(例):

XXXXXXXXXXXX

仮想MFAデバイスを作成します。

変数の確認:

cat << END

  # MFA_DEVICE_NAME:"handson-cli-basic-user-mfa"
    MFA_DEVICE_NAME="${MFA_DEVICE_NAME}"
  # MFA_BOOTSTRAP_METHOD:"QRCodePNG"
    MFA_BOOTSTRAP_METHOD="${MFA_BOOTSTRAP_METHOD}"
  # FILE_MFA_OUTFILE:"${HOME}/environment/tmp-handson-cli-iam-user-basic/handson-cli-basic-user-mfa.png"
    FILE_MFA_OUTFILE="${FILE_MFA_OUTFILE}"

END

コマンド:

aws iam create-virtual-mfa-device \
  --virtual-mfa-device-name ${MFA_DEVICE_NAME} \
  --bootstrap-method ${MFA_BOOTSTRAP_METHOD} \
  --outfile ${FILE_MFA_OUTFILE}

結果(例):

{
    "VirtualMFADevice": {
        "SerialNumber": "arn:aws:iam::XXXXXXXXXXXX:mfa/handson-cli-basic-user-mfa"
    }
}

完了確認

「仮想MFAデバイス"handson-cli-basic-user-mfa"が存在する。」ことを確認します。

コマンド:

aws iam list-virtual-mfa-devices \
  --query "VirtualMFADevices[?SerialNumber == \`arn:aws:iam::${AWS_ID}:mfa/${MFA_DEVICE_NAME}\`].SerialNumber" \
  --output text

結果(例):

arn:aws:iam::XXXXXXXXXXXX:mfa/handson-cli-basic-user-mfa

「MFAブートストラップ出力ファイル"${HOME}/environment/tmp-handson-cli-iam-user-basic/handson-cli-basic-user-mfa.png"が存在する。」ことを確認します。

コマンド:

ls ${FILE_MFA_OUTFILE}

結果(例):

${HOME}/environment/tmp-handson-cli-iam-user-basic/handson-cli-basic-user-mfa.png

手順の完了

(参考) マネジメントコンソールの確認

マネジメントコンソールでは、仮想MFAデバイスの登録はIAMユーザーへの紐付けと同時に行うため、本手順に対する確認手順はありません。